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Abstract of DE1 9857683 




I The system has a main controller (1 ) bus coupled to different processors (1 1 , 1 2) via a number of decentralized 
v data receivers (4-10). Connected to the bus is a watchdog unit that monitors safety critical parameters. The 
i i watchdog controller has embedded software that allows functions and actions to be selected. 
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Die foigenden Angeben eind dan vom Ammldw eJnvareicnten 

PrQf ungsantrag gem. 1 44 PstG 1st gestellt 

® Vorfahren zur Stcherhoitsuberwachung von Steuerungaeirmchtungen 
® Es wird etn Verfahron *ur Emdhung der Sicherheit bei 

Automatislerungaoinricntungcn beach riobon. Dat\ferfeh- 

ron tat dcrart auagofogi daS man Gblicho Stoueiungaein- 

richtungcn mil de2ontraien f\m'pricriegcrfiten in Bazug 

ouf sicherheitsrelevantB Vbrg&nge und Ablaufe radii n> 

dam uberwacht und demit gehobenen Stchemertaanfoi^ 

derungen ?um SehuT* von Uben und Gesundhrit von 

Peraonen Oder Maeeflinenteilen gerecht wins. Bet dam 

vorgestoHten Vorfahren wind cine wdtrofchende Tren- 

nung nvlschon dam Steuerungssystem und dor SJchor- 

heitsaimichtting erreicht, so dafl cine nochtraglicho In- 
stallation in einfachster form mogltch wird 2usatzlich iat 

man in der Luge, sowohl das SfeuarungssYstsm ala auch 

die Skhemeiiseinrichtung unabhangig iu programmie- 

ren und m prOfen. 
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Die Erfindung 
Steuenjrigseinri^^^ 

Oder spnstige elektromechanische Einrichtuhgen zu steuerri, r^eln; bbe>wachen:Oder zii visu^iisieren sind. Im> : 
engeren Sfhne vewendetman.h 

Anwendungsgebiete sind Automatisierungisinselh; Fertigungsstrassen; Bearbeitungszentren oder chemisette' 
Bhric^tungen: \ -i'/- ,My^^'j;,'' r ^\}'^*;'^ <v * i >^ /; " V'-. '••- : v 

Nicht selten enthalten dibse vbrhergenarinten Prozesse sichertleitsrelevarite Abl§ufe/die eine GefShrduhg ftir " : 
Personen oder.Teile der Maschine dar^telien. Voh.den fehlerhafte Zu^ndender Steuerunggehen dann extreme 
Gefahren aus, die untiedin^yp^ • 
tmlrantrpllierteB 

Besehleunigungen bder failsclhe Drehz^hien Von Rotation^ Von HeiZT pder ^ 

Dosierprazessembd cte vleif^ltigV Zufn^tst liegt abef :^in I? 

Programmjerfehler it ;ein unkontrolliertes^erhafte sonstige StOrungivon 

die den Prozess in eine nicht definierte Situation bringt J % ? _ \. a % h "i 

Die^e Fbhlerartien sind in de 
Oieic^fall^ellt die Norm 

Femer bieten verschiedene Hi^telier^von Steuerungseinrichtungen bereifeVollstS^ 

sic^fertieitsrelevante;EinHchtungen (wte'^orgestellt) zu>eiweriden<sirid (siehe Produktarigebote Siemens (11 5/1 55F)^ 
Oder Produkte der Herstelier Pilz und HirnapV; ; v v 1 \ . ; . . r:^^ !. V, > ■ " 

$tebel%inten Ltisungen basieren darauf , dass man entweder die gesam 

Steitei^gsein^ 

Kpmifcnenteh^ 

bej einer d^rtigen ^ d^G^rtitsystems dift Jed|iArid(Biriirig ddetAnpa^urig ah 

iflen|?roze^s muss sorgsam (im Hinblic^ da.auch- ' ; ' * / ♦ /: v * . 

nich&chei^eitereievante rtard- Oder Softwarekomponenten einen Einfluss ai^ 
k6nrieri:;|m s^^ 

fuhren. m ' ? •'" - : -\ ■ \ V i - ■' * " ■ < • V ' , :*y " 

* I > ;-'■> ' s i • ^4 ; ;i r ?i> : I ; - V< 5 <; £■ ; - \ '% & : C %> % *V* ' & 
Bereits in derVergangenheit^ 

Vorgahgen zu treririen (siehe audi Patent 0eJ3'5 02 387^bder Fac^artikei rSPS in der Sic^ei+ieitstechhik", SPS- V ; 
Magazirr/FebiMarz 1990) Nach wie Vor stejleri;auch diese Kohzepte ^Verfahreh ^dar/die^ar ohneVerdo^piungder f 
Hardware auskbmmen t : ah ^ ^ - — ^ - • — - - « — i_ - , - - 

Der 

trenneri. Mitder Erfindung wird es m6glich/den St^^^ 

zu nehmen.^ Die sicherheitsreievanten Komponenten lassen sich dann nachtiUglich hirizufQgen, bhne die vi. ' f: .>■' 
Steuerungsfunktion zu Sndem; Auchnach/der jn^fl^ • i / 

Si<*ertiei^ysfem)1^ 

Sicherheitsftjnktion davon betroffen isE InsbjBsbndere BesteHtdle^Mdgiichkeit a SichertieitiveVi^Ofrfungeh im 
eiraeineh una^ ^ : <V / > , , ; rf - ; 

pjese^Au^abe^ir^ erfindu^^ 

weiteren Ansprtiche (2-fO) vorteilhate ?T ^ L< ? 

In Rgt,vi i^ die Fun 

AU^atiisiemrig^^em-aUs eihe^Steuemi^ t ^to^ 

Prozess steuerri pdef Obervyachenl Damit steiltdi^Fig: iieihe typi^e Bhri(^tung d^^d grau ^ - ^ 

hinteHegtehKdmppri^n 

Im I^il^euert aSer regelt dieStwemng BUs^ystem (3); 

hqitsle Dateri ypm Proz^ 

(Bmpfangen alle;Daten ? vom BusrfSystem (3) oderstelieh dem Prozess (1 tr12) ihre Diateh zutVeiTOgUng; Damit sin^ 
die dezentraien Einheten^ : 



PeripheriebaugrujDpen in der Speicherprdgrammierbaren Steuerung zu findea sind. Die Steuerung (1) enthdlt eiri "H I 

..^^ — — — — L — w : . -„■« . r%. :^ n . ; / ^ ■ . , , . t , v >r — — ^ ■ ■, ^ t,-. a . • : ■ . _j.f 
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Progralffi^Software^ das all^Misicherheitsrelevanten Vorgange steuert oder reg^Bmer enthSltsie bereitsTn 
ihrem Programm auch die loJ^Pin Funktionen fQr die SicherheitsverknQpfungen/dW 

Vorgdnge riotwendig sindi So enthait beispielsweise der Prozess (1 1) keine aber der Prozess (1 2) ; "-, . % r - \ 
sicherheitsrelevante VorgSnge bei denen Bewegungen erfolgen, die eine Gefahr fQr Mensch oder Maschine darstellen 
(13): Obwbhldie Steu^ 
nichtejn^ 

diese ^er hicht kontrolliert w 

jegliche pehlererkennung fiehlt £ ; v '•. • ••;<." v- i:/ ■■' ,v ;; : . • /. ^'v" 

EritsprecH^ na<*Anspra^ 

zurPrbz^abschaltung die grau hinteriegten Kompbnehteh hliuugefOgt Die Indbc ' 4 

Funktion eiiies Hdrers (Listener) an den Bus arigeschlossen. Sie braucht danriit nicht von der Steuerung berQcksichtigt 
zu werden; da sie nur passiv sich der Datiendes Bus-Systems (3) bedieht Die Oberwachuhgseinheit (2) ist Qber die ; ' 
auf dem Bus laufenden Daten Qber alle Zustande und AblSufe im Prozess und insbesondere Gber die Zustande der 
iPipzes^rSssen informiert. Ihi Rrinzjp ist siedamit inxlerLage, die sichertieitsreievanteh ZiistSnde zu Qberprtlfenl Ziir 
BewSltigung^di^ Logik v " v * 

Qbehvacht (z/B.r Gittei^ontrp Fehlerfall der Steuerung (1) kanm 

damit die Oberwachungseinheit (2) geeignete Massnahmen ergreifen. Diese Fehlererkennurig funktioniert jedoch nur 
dann • wenn die Steuerungseinheit (1) als Verureacher fungiert. Fehler in cfen dezentraien Einheiteri oder irh ProzeisSu ; 
werden von beidert Einheifen (S^S^ 

Htontrollegelingt daher hur mitfels spezielfer dezentrater Bnh^t^, dib jhii eigehe Funktlbri <#erspgai: dieSe^sorik* 
jm redundant Prozess abftegen; Ehtepre i gehdren zum Verfahi^en aubfc dezentala iEMHeiteh;r ; 

die selbst Si^erheitsanfprdenjngengehQgen. Hieizu geshdrt insbesondere dle-Obenwachung 
und die Sicherheitsabschaltung im Fehlerfall (bei Ausfall des Bus-Systems (3") oder bei fehlerhaftenEiri- oder - 

Die Uber>vachungseinheit (2) erkennt somit eindeutg einen Fehler, sofem er im sicherheitsrelevanten Programm als J 
Lpgik hihtertegt ist<Eibleibt5ief s^ welcher Form ;eipe;ge6igheite^*'. : C : ^ r ■ Vc;^ 

Sicherheitsabsc^atong >e^ ;> • v j 

un^rbrechen oiler kiiJ^hltei^iife 

fallen iri einen sichefen;Zustand: Dertkba^iist aber audi ein^SziiBlte^ i Absdhaitert cl^r StriM^erw^ui^ -1- ^ 

langsamesft^t^ ^,4\v^>:^-/>-.. ;{ - ,? ; - . ^ \ ; % 'I 

^> ; >;.^v - ^ V! ^Data supplied from th8;esx>@cefiel database -tc - :^^5? * j 3 - ---^ 
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IvVSrfahren zw^ : : * ,f 

Steuerungen Oder MikrorechnerQberiein Bus-System dezentrale Einheiteh ansprechen, die eineh Prozess sowohl irh 
sicherheitsreleyante^ steuem Oder Qberwachen, dadurch 

gekenrizeichnet f ; dass zlir Realisierung <ter iSic^rWeitMriWrderur^ eirie Oberwabhungseinheit (2) hihzugefD^t wird 
die entweder ausschliesslich oder voiwiegend die slcherheitsbehafteten Funktionen des Prbzesses (12) mitder "v 
notwendigen Logik zur Oberwachung g^^ AblSufe dderBewegungen (1 3) hinzugefGgt wird, die selbst- 

nurOberdasBus-^^ 

FunktionerhSIt und damit zusStziich zum Gesamtprbzess adaptierbar 1st, diesis mit sicherheitsgerichteten dezentraien 
Einheiten(7, 9)*ommuniziertuttdparpel z^ uhdnurim 
Fehlerfall Gber die^ den sicheren Maschinen- . 

bzw.^lagehzust^dherbeiffl^ ^ V ; v : '^VC: .< 



S^ffahren nach d^^^ 

derFunldonskpntrGlle des Sicherheit notwendigen £ 

Abs^^nktipn&p^ geforderte Grad an Sicherheit oroiektiert 

werdenkann. * . <r' > f V * < 1 1* - 

4; Verfahren na(^denAnsprQcHen1 bis 3, dadurch geke'nnzefchnet, dass die Oberwachungseinheit (2) und die ' - 
sicherheitsgerichteten dezentraien Einhette^ '■■?£ 
Steuerungsftinktion zu beeinWchtlgert . v - , ' * , — X' T > <' 

&V?^^ Mith^rteh ^ 

der Uberwachung^inheit (2) keine RQckwirkungjauf deri/efcentJicben^ : 
wei^hende<^ 

SicherheitsQberwachunger^ y - 

k;-^ i ; ^ £ j m v \ r :?Sl ** » - ? 

6. Verfahren nach den ArisorGchen i bis 5. dadurch aeksnnzeleh^^ 



- r*-. w "" tt-t^-t r rir i*?!"?'' % y,,^«w» wit y »i\yiiiityiv»ii updo uio uuoi wcsuiiui lyseiiirusu ^) Qber den •' ' 

Hi™ a, en Datenverkehr des Bus-Systems (3) der.Steuemngseinheit (1) alle hotwendigeh Zustande und Funktionen : 
erhait, die zur Oberwachung des nicht redundanteri Steuenihassvsterhs notwendia sind. : 



ernaiii.aiezur UDerwachung des mcht redundanteri Steueriirigssysterhs notwendig sind. : - ' w ' ^ < ' * 

7;: Verfahren nach den AnsprOchen 1 bis 6, dadurch gekennzeidtinei diss es an Stendardbtis^sfeme dhne 
SCTertieRsprptokb^ . v - v t a r \ ; v :j • : 



terung^adaptierbar bzw. einbindbar 1st -v * - a - > . > V j 

8. Verfahren nach den AnsprOchen 1 - bis? a .ctadunft^ dass ai#dezenfraleh Einheiten; die ; 
sicherteit^eleyanfe F 

oder Aktoren redundant Gberwachen und bei Au^ali einerFUnktion, beispielsweise bei Ausfall der Bus-Furiktibh, in 
den sij^emZustan^ / ? 

9. Verfahren nach den AnsprOchen jt bis 8, dadurch gekennzeichhet, dass die Oberwachungseinheit (2) in eirier von 



asm nicni reaunaanten-bteuerung^ystem un 
Sjchertieitsfuhktioh^ ... / , 

f " : , : ,•-*• V-fP' ^r::^A' ' 1 " ^ py'^/P ' l^^V'V^: ;^ ^ 
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